Häufig gestellte Fragen zu GDAP
Geeignete Rollen: Alle Benutzer , die an Partner Center interessiert sind
Präzise delegierte Administratorberechtigungen (GDAP) ermöglichen Partnern zugriff auf die Arbeitslasten ihrer Kunden, die präziser und zeitgebundener sind, was dazu beitragen kann, Sicherheitsbedenken der Kunden zu beheben.
Mit GDAP können Partner Kunden mehr Dienstleistungen anbieten, die möglicherweise mit dem hohen Niveau des Partnerzugriffs unangenehm sind.
GDAP hilft auch Kunden, die gesetzlich vorgeschriebene Anforderungen haben, nur den zugriff auf Partner mit geringsten Rechten zu ermöglichen.
Einrichten von GDAP
Wer kann eine GDAP-Beziehung anfordern?
Jemand mit der Administrator-Agent-Rolle in einer Partnerorganisation kann eine GDAP-Beziehungsanfrage erstellen.
Läuft eine GDAP-Beziehungsanforderung ab, wenn der Kunde keine Maßnahmen ergreift?
Ja. GDAP-Beziehungsanforderungen laufen nach 90 Tagen ab.
Kann ich eine GDAP-Beziehung zu einem Kunden dauerhaft machen?
Nein Dauerhafte GDAP-Beziehungen mit Kunden sind aus Sicherheitsgründen nicht möglich. Die maximale Dauer einer GDAP-Beziehung beträgt zwei Jahre. Sie können "Automatische Verlängerung" auf "Aktiviert" festlegen, um eine Administratorbeziehung um sechs Monate zu verlängern, bis sie auf "Deaktiviert" festgelegt oder automatisch verlängert wird.
Unterstützt DIE GDAP-Beziehung den Enterprise Agreement?
Nein, die GDAP-Beziehung unterstützt keine Abonnements, die über Unternehmensverträge erworben wurden.
Kann eine GDAP-Beziehung mit einem Kunden autorew/auto extenden?
Ja. Eine GDAP-Beziehung kann bis zur Beendigung oder automatischen Verlängerung auf "Deaktiviert" um sechs Monate verlängert werden.
Was kann ich tun, wenn die GDAP-Beziehung mit einem Kunden abläuft?
Wenn die GDAP-Beziehung mit Ihrem Kunden abläuft, fordern Sie eine GDAP-Beziehung erneut an.
Sie können GDAP-Beziehungsanalysen verwenden, um Ablaufdaten der GDAP-Beziehung nachzuverfolgen und sich auf ihre Verlängerung vorzubereiten.
Wie kann ein Kunde eine GDAP-Beziehung erweitern oder verlängern?
Um eine GDAP-Beziehung zu erweitern oder zu verlängern, muss der Partner oder Kunde die automatische Erweiterung auf "Aktiviert" festlegen. Weitere Informationen finden Sie unter Manage GDAP Auto Extend and API.
Kann ein aktives GDAP bald aktualisiert werden, um automatisch erweitert zu werden?
Ja, wenn GDAP aktiv ist, könnte sie erweitert werden.
Wann wird die automatische Erweiterung in Aktion?
Angenommen, ein GDAP wird für 365 Tage erstellt, wobei die automatische Verlängerung auf "Aktiviert" festgelegt ist. Am 365. Tag würde das Enddatum effektiv um 180 Tage aktualisiert werden.
Würden E-Mails gesendet, wenn die automatische Erweiterung zwischen "Aktiviert/Deaktiviert" umgeschaltet wird?
Es würden keine E-Mails an Partner und Kunden gesendet.
Kann ein GDAP mit PLT (Partner Led Tool), MLT (Microsoft Led Tool), Partner Center UI, Partner Center API automatisch erweitert werden?
Ja, alle aktiven GDAP können automatisch erweitert werden.
Ist die Zustimmung des Kunden erforderlich, um die automatische Erweiterung auf vorhandene aktive GDAPs festzulegen?
Nein, die Zustimmung des Kunden ist nicht erforderlich, um die automatische Erweiterung auf "Aktiviert" für ein vorhandenes aktives GDAP festzulegen.
Sollten granulare Berechtigungen nach der automatischen Erweiterung erneut sicherheitsgruppen zugewiesen werden?
Nein, granulare Berechtigungen, die Sicherheitsgruppen zugewiesen sind, werden wie folgt fortgesetzt.
Kann eine Administratorbeziehung mit der Rolle "Globaler Administrator" automatisch erweitert werden?
Nein, die Administratorbeziehung mit der Rolle "Globaler Administrator" kann nicht automatisch erweitert werden.
Warum wird die Seite "Ablaufende granulare Beziehungen" unter dem Arbeitsbereich "Kunden" nicht angezeigt?
Die Seite "Ablaufde granulare Beziehungen" ist nur für Partnerbenutzer verfügbar, die globale Administratoren und Administrator-Agent-Rollen haben.
Diese Seite hilft beim Filtern von GDAPs, die auf verschiedenen Zeitachsen ablaufen, und hilft beim Aktualisieren der automatischen Erweiterung (Aktivieren/Deaktivieren) für einen oder mehrere GDAPs.
Wenn eine GDAP-Beziehung abläuft, sind die bestehenden Abonnements des Kunden betroffen?
Nein Es gibt keine Änderung an den vorhandenen Abonnements eines Kunden, wenn eine GDAP-Beziehung abläuft.
Wie kann ein Kunde sein Kennwort und MFA-Gerät zurücksetzen, wenn er aus dem Konto gesperrt ist und keine GDAP-Beziehungsanfrage von einem Partner annehmen kann?
Lesen Sie die Problembehandlung bei Problemen mit der mehrstufigen Authentifizierung von Microsoft Entra und kann die mehrstufige Microsoft Entra-Authentifizierung nicht verwenden, um sich bei Clouddiensten anzumelden, nachdem Sie Ihr Telefon verloren haben oder sich die Telefonnummern geändert haben.
Welche Rollen benötigt ein Partner, um ein Administratorkennwort und ein MFA-Gerät zurückzusetzen, wenn ein Kundenadministrator aus ihrem Konto gesperrt ist und eine GDAP-Beziehungsanfrage von einem Partner nicht akzeptieren kann?
Partner muss beim Erstellen des ersten GDAP die Rolle des Privilegierten Authentifizierungsadministrators anfordern, damit die Kennwort- und Authentifizierungsmethode für einen Benutzer (Administrator oder nichtadmin) zurückgesetzt werden kann. Die Rolle "Privileged Authentication Administrator" ist Teil der Rollen, die von MLT (Microsoft Led Tool) eingerichtet werden und während des Erstellungs-Kundenablaufs (geplant für September) mit dem Standard-GDAP verfügbar sein sollen.
Der Partner könnte den Kundenadministrator versuchen , das Kennwort zurückzusetzen. Als Vorsichtsmaßnahme muss der Partner SSPR (Self-Service Password Reset) für seine Kunden einrichten. Weitere Informationen finden Sie unter "Zulassen, dass Personen ihre eigenen Kennwörter zurücksetzen" können.
Wer erhält eine E-Mail-E-Mail zur Beendigung einer GDAP-Beziehung?
Innerhalb einer Partnerorganisation erhalten Personen mit der Administrator-Agent-Rolle eine Kündigungsbenachrichtigung.
Innerhalb einer Kundenorganisation erhalten Personen mit der Rolle " Globaler Administrator " eine Kündigungsbenachrichtigung.
Kann ich sehen, wann ein Kunde GDAP in den Aktivitätsprotokollen entfernt?
Ja. Partner können sehen, wenn ein Kunde GDAP in den Partner Center-Aktivitätsprotokollen entfernt.
Muss ich eine GDAP-Beziehung mit allen meinen Kunden erstellen?
Nein GDAP ist eine optionale Funktion für Partner, die die Dienste ihrer Kunden präziser und zeitgebundener verwalten möchten. Sie können auswählen, mit welchen Kunden Sie eine GDAP-Beziehung erstellen möchten.
Wenn ich mehrere Kunden habe, muss ich mehrere Sicherheitsgruppen für diese Kunden haben?
Die Antwort hängt davon ab, wie Sie Ihre Kunden verwalten möchten.
Wenn Sie möchten, dass Ihre Partnerbenutzer alle Kunden verwalten können, können Sie alle Partnerbenutzer in einer Sicherheitsgruppe platzieren, und dass eine Gruppe alle Ihre Kunden verwalten kann.
Wenn Sie mehrere Partnerbenutzer bevorzugen, die verschiedene Kunden verwalten, weisen Sie diesen Partnerbenutzern sicherheitsgruppen für die Kundenisolation zu.
Können indirekte Händler GDAP-Beziehungsanfragen im Partner Center erstellen?
Ja. Indirekte Wiederverkäufer (und indirekte Anbieter und Direktrechnungspartner) können GDAP-Beziehungsanfragen im Partner Center erstellen.
Warum kann ein Partnerbenutzer mit GDAP nicht als AOBO (Administrator im Auftrag von) auf eine Workload zugreifen?
Stellen Sie im Rahmen der GDAP-Einrichtung sicher, dass Sicherheitsgruppen ausgewählt werden, die im Partnermandanten mit Partnerbenutzern erstellt wurden. Stellen Sie außerdem sicher, dass der Sicherheitsgruppe die gewünschten Microsoft Entra-Rollen zugewiesen sind. Verweisen Sie auf "Microsoft Entra-Rollen zuweisen".
Was ist der empfohlene nächste Schritt, wenn die vom Kunden festgelegte Richtlinie für bedingten Zugriff alle externen Zugriffe blockiert, einschließlich des Zugriffs des CSP (AOBO) auf den Mandanten des Kunden?
Kunden können jetzt CSPs aus der Richtlinie für bedingten Zugriff ausschließen, damit Partner zu GDAP wechseln können, ohne blockiert zu werden.
Benutzer einschließen – Diese Liste der Benutzer enthält in der Regel alle Benutzer, für die eine Organisation in einer Richtlinie für bedingten Zugriff ausgerichtet ist.
Die folgenden Optionen stehen zum Erstellen einer Richtlinie für bedingten Zugriff zur Verfügung:
- Auswählen von „Benutzer und Gruppen“
- Gast- oder externe Benutzer (Vorschau)
- Diese Auswahl bietet mehrere Optionen, mit denen Sie Richtlinien für bedingten Zugriff auf bestimmte Typen von Gastbenutzern oder externen Benutzern sowie auf bestimmte Mandanten anwenden können, die diese Benutzertypen enthalten. Es können verschiedene Typen von Gastbenutzern oder externen Benutzern ausgewählt werden, und es ist eine Mehrfachauswahl möglich:
- Dienstanbieterbenutzer, z. B. einen Cloud-Lösungsanbieter (Cloud Solution Provider, CSP).
- Für die ausgewählten Benutzertypen können Sie einen oder mehrere Mandanten angeben, oder Sie können alle Mandanten angeben.
- Diese Auswahl bietet mehrere Optionen, mit denen Sie Richtlinien für bedingten Zugriff auf bestimmte Typen von Gastbenutzern oder externen Benutzern sowie auf bestimmte Mandanten anwenden können, die diese Benutzertypen enthalten. Es können verschiedene Typen von Gastbenutzern oder externen Benutzern ausgewählt werden, und es ist eine Mehrfachauswahl möglich:
- Gast- oder externe Benutzer (Vorschau)
Externer Partnerzugriff – Richtlinien für bedingten Zugriff, die auf externe Benutzer abzielen, können den Zugriff des Dienstanbieters beeinträchtigen, z. B. präzise delegierte Administratorrechte. Weitere Informationen finden Sie in der Einführung in differenzierte delegierte Administratorrechte (GDAP). Verwenden Sie für Richtlinien, die für Mandanten des Dienstanbieters vorgesehen sind, den externen Benutzertyp Dienstanbieterbenutzer, der in den Auswahloptionen Gastbenutzer oder externe Benutzer verfügbar ist.
Ausschließen von Benutzern – Wenn Organisationen einen Benutzer oder eine Gruppe einschließen und ausschließen, wird der Benutzer oder die Gruppe von der Richtlinie ausgeschlossen, da eine Ausschlussaktion eine einschließende Aktion in einer Richtlinie außer Kraft setzt.
Die folgenden Optionen stehen zum Ausschließen beim Erstellen einer Richtlinie für bedingten Zugriff zur Verfügung:
- Gastbenutzer oder externe Benutzer
- Diese Auswahl bietet mehrere Optionen, mit denen Sie Richtlinien für bedingten Zugriff auf bestimmte Typen von Gastbenutzern oder externen Benutzern sowie auf bestimmte Mandanten anwenden können, die diese Benutzertypen enthalten. Es können verschiedene Typen von Gastbenutzern oder externen Benutzern ausgewählt werden, und es ist eine Mehrfachauswahl möglich:
- Dienstanbieterbenutzer, z. B. ein Cloudlösungsanbieter (Cloud Solution Provider, CSP)
- Für die ausgewählten Benutzertypen können Sie einen oder mehrere Mandanten angeben, oder Sie können alle Mandanten angeben.
- Diese Auswahl bietet mehrere Optionen, mit denen Sie Richtlinien für bedingten Zugriff auf bestimmte Typen von Gastbenutzern oder externen Benutzern sowie auf bestimmte Mandanten anwenden können, die diese Benutzertypen enthalten. Es können verschiedene Typen von Gastbenutzern oder externen Benutzern ausgewählt werden, und es ist eine Mehrfachauswahl möglich:
Weitere Informationen finden Sie unter:
- Graph-API-Erfahrung: Beta-API mit den neuen Informationen zum externen Benutzertyp
- Richtlinie für bedingten Zugriff
- Bedingter Zugriff externer Benutzer
Benötige ich eine GDAP-Beziehung, um Supporttickets zu erstellen, obwohl ich premier Support für Partner habe?
Ja, unabhängig vom Supportplan, den Sie haben, ist die am wenigsten privilegierte Rolle für Partnerbenutzer, um Supporttickets für ihren Kunden zu erstellen, der Servicesupportadministrator ist.
Kann GDAP im Status "Genehmigung ausstehend " vom Partner beendet werden?
Nein, der Partner kann derzeit einen GDAP im Status "Genehmigung ausstehend " nicht beenden. Er läuft in 90 Tagen ab, wenn der Kunde keine Maßnahmen ergreift.
Nachdem eine GDAP-Beziehung beendet wurde, kann ich denselben GDAP-Beziehungsnamen wiederverwenden, um eine neue Beziehung zu erstellen?
Erst nach 365 Tagen (Aufräumen) nach Beendigung der GDAP-Beziehung oder "Abgelaufen" können Sie denselben Namen wiederverwenden, um eine neue GDAP-Beziehung zu erstellen.
Kann ein Partner in einer Region seine Kunden in verschiedenen Regionen verwalten?
Ja, ein Partner kann seine Kunden regionenübergreifend verwalten, ohne neue Partnermandanten pro Kundenregion zu erstellen. Beachten Sie, dass dies nur für die Von GDAP (Administratorbeziehungen) bereitgestellte Kundenverwaltungsrolle gilt. Transaktionsrolle und -funktionen sind weiterhin auf Ihr autorisiertes Gebiet beschränkt
Kann der Dienstanbieter Teil einer mehrinstanzenfähigen Organisation sein?
Nein, der Dienstanbieter kann nicht Teil der mehrinstanzenfähigen Organisation sein, sie schließen sich gegenseitig aus.
GDAP-API
Sind APIs zum Erstellen einer GDAP-Beziehung mit Kunden verfügbar?
Informationen zu APIs und GDAP finden Sie in der Partner Center-Entwicklerdokumentation.
Kann ich die Beta-GDAP-APIs für die Produktion verwenden?
Ja. Es wird empfohlen, dass Partner die Beta-GDAP-APIs für die Produktion verwenden und später zu APIs v.1 wechseln, wenn sie verfügbar sind.
Obwohl es eine Warnung gibt, "Die Verwendung dieser APIs in Produktionsanwendungen wird nicht unterstützt", ist die allgemeine Anleitung für jede Beta-API unter Graph und gilt nicht für die Beta-GDAP Graph-APIs.
Kann ich mehrere GDAP-Beziehungen mit verschiedenen Kunden gleichzeitig erstellen?
Ja. GDAP-Beziehungen können mithilfe von APIs erstellt werden, sodass Partner diesen Prozess skalieren können. Das Erstellen mehrerer GDAP-Beziehungen ist jedoch nicht im Partner Center verfügbar. Informationen zu APIs und GDAP finden Sie in der Partner Center-Entwicklerdokumentation.
Können mehrere Sicherheitsgruppen in einer GDAP-Beziehung mithilfe eines API-Aufrufs zugewiesen werden?
Die API funktioniert jeweils für eine Sicherheitsgruppe, Sie können jedoch mehrere Sicherheitsgruppen mehreren Rollen im Partner Center zuordnen.
Wie kann ich mehrere Ressourcenberechtigungen für meine Anwendung anfordern?
Führen Sie einzelne Aufrufe für jede Ressource durch. Übergeben Sie beim Erstellen einer einzelnen POST-Anforderung nur eine Ressource und die entsprechenden Bereiche.
Um z. B. Berechtigungen für beide https://graph.windows.net/Directory.AccessAsUser.All
und https://graph.microsoft.com/Organization.Read.All
, nehmen Sie zwei verschiedene Anforderungen vor, eine für jedes.
Wie finde ich die Ressourcen-ID für eine bestimmte Ressource?
Verwenden Sie den bereitgestellten Link, um nach dem Ressourcennamen zu suchen: Überprüfen Sie Microsoft-Anwendungen von Erstanbietern in Anmeldeberichten – Active Directory. Beispiel:
So suchen Sie die Ressourcen-ID (Beispiel: 00000003-0000-0000-c000-0000000000000 für graph.microsoft.com):
Was sollte ich tun, wenn der Fehler "Request_UnsupportedQuery" mit der Meldung "Nicht unterstützte oder ungültige Abfragefilterklausel für die Eigenschaft "appId" der Ressource "ServicePrincipal" angegeben wird?
Dieser Fehler tritt in der Regel auf, wenn im Abfragefilter ein falscher Bezeichner verwendet wird.
Um dies zu beheben, stellen Sie sicher, dass Sie die EnterpriseApplicationId-Eigenschaft mit der richtigen Ressourcen-ID und nicht mit dem Ressourcennamen verwenden.
Falsche Anforderung
Verwenden Sie für "enterpriseApplicationId" keinen Ressourcennamen wie graph.microsoft.com.
Richtige Anforderung
Verwenden Sie für enterpriseApplicationId stattdessen die Ressourcen-ID, z. B. 00000003-0000-0000-c0000-0000000000000.
Wie kann ich der Ressource einer Anwendung, die bereits in den Kundenmandanten zugestimmt wurde, neue Bereiche hinzufügen?
Beispiel: Früher in graph.microsoft.com Ressourcenbereich wurde nur der Bereich "Profil" zugestimmt. Jetzt möchten wir auch profil und user.read hinzufügen.
So fügen Sie einer zuvor zugestimmten Anwendung neue Bereiche hinzu:
Verwenden Sie die DELETE-Methode, um die vorhandene Anwendungszustimmung vom Mandanten des Kunden zu widerrufen.
Verwenden Sie die POST-Methode, um eine neue Anwendungszustimmung mit den zusätzlichen Bereichen zu erstellen.
Hinweis
Wenn Ihre Anwendung Berechtigungen für mehrere Ressourcen benötigt, führen Sie die POST-Methode für jede Ressource separat aus.
Gewusst wie mehrere Bereiche für eine einzelne Ressource angeben (enterpriseApplicationId)?
Verketten Sie die erforderlichen Bereiche mithilfe eines Kommas, gefolgt von einem Leerzeichen. Beispiel: "scope": "profile, User.Read"
Was sollte ich tun, wenn ich einen Fehler "400 Ungültige Anforderung" mit der Meldung "Nicht unterstütztes Token" erhalte. Der Autorisierungskontext kann nicht initialisiert werden"?
Vergewissern Sie sich, dass die Eigenschaften "displayName" und "applicationId" im Anforderungstext korrekt sind und der Anwendung entsprechen, die Sie dem Kundenmandanten zustimmen möchten.
Stellen Sie sicher, dass Sie dieselbe Anwendung verwenden, um das Zugriffstoken zu generieren, das Sie dem Kundenmandanten zustimmen möchten.
Beispiel: Wenn die Anwendungs-ID "12341234-1234-1234-12341234" lautet, sollte der Anspruch "appId" im Zugriffstoken auch "12341234-1234-1234-12341234" sein.
Stellen Sie sicher, dass eine der folgenden Bedingungen erfüllt ist:
Sie verfügen über ein aktives delegiertes Administratorrecht (Delegiertes Administratorrecht, DAP), und der Benutzer ist auch Mitglied der Sicherheitsgruppe "Admin Agents" im Partnermandanten.
Sie verfügen über eine aktive granulare delegierte Administratorberechtigung (GDAP) mit dem Kundenmandanten mit mindestens einer der folgenden drei GDAP-Rollen, und Sie haben die Zugriffszuweisung abgeschlossen:
- Rolle "Globaler Administrator", "Anwendungsadministrator" oder "Cloudanwendungsadministrator".
- Der Partnerbenutzer ist Mitglied der Sicherheitsgruppe, die in der Zugriffszuweisung angegeben ist.
Rollen
Welche GDAP-Rollen sind erforderlich, um auf ein Azure-Abonnement zuzugreifen?
Um Azure mit Partitionierung pro Kunde zu verwalten (dies ist die empfohlene bewährte Methode), erstellen Sie eine Sicherheitsgruppe (z . B. Azure-Manager) und verschachteln sie unter Administrator-Agents.
Um auf ein Azure-Abonnement als Besitzer für einen Kunden zuzugreifen, können Sie jeder integrierten Microsoft Entra-Rolle (z. B. Verzeichnisleser, die rolle mit den geringsten Rechten) der Sicherheitsgruppe "Azure Manager" zuweisen.
Schritte zum Einrichten von Azure GDAP finden Sie unter Workloads, die von granularen delegierten Administratorrechten (GDAP) unterstützt werden.
Gibt es Anleitungen zu den Am wenigsten privilegierten Rollen, die ich Benutzern für bestimmte Aufgaben zuweisen kann?
Ja. Informationen zum Einschränken der Administratorberechtigungen eines Benutzers durch Zuweisen von Rollen mit den geringsten Rechten in Microsoft Entra finden Sie unter "Rollen mit den geringsten Rechten nach Aufgabe" in Microsoft Entra.
Was ist die am wenigsten privilegierte Rolle, die ich einem Mandanten eines Kunden zuweisen kann und trotzdem Supporttickets für den Kunden erstellen kann?
Es wird empfohlen, die Rolle des Dienstsupportadministrators zuzuweisen. Weitere Informationen finden Sie unter "Am wenigsten privilegierte Rollen nach Aufgabe" in Microsoft Entra.
Welche Microsoft Entra-Rollen wurden im Juli 2024 in der Partner Center-Benutzeroberfläche zur Verfügung gestellt?
Um die Lücke zwischen den verfügbaren Microsoft Entra-Rollen zu verringern. Die Partner Center-API im Vergleich zur Benutzeroberfläche wurde unter der Liste der 9 Rollen im Juli 2024 in der Partner Center-Benutzeroberfläche zur Verfügung gestellt.
Unter Zusammenarbeit:
- Edgeadministrator
- Administrator für virtuelle Besuche
- Viva Goals-Administrator
- Viva Pulse-Administrator
- Yammer-Administrator
Gehen Sie unter Identität folgendermaßen vor:
- Berechtigungsverwaltungsadministrator
- Lebenszyklus-Workflowadministrator
Unter Anderen:
- Organisations-Brandingadministrator
- Genehmigende Person für Organisationsnachrichten
Kann ich Supporttickets für einen Kunden in einer GDAP-Beziehung öffnen, aus der alle Microsoft Entra-Rollen ausgeschlossen wurden?
Nein Die Am wenigsten privilegierte Rolle für Partnerbenutzer, um Supporttickets für ihren Kunden erstellen zu können, ist der Servicesupportadministrator. Damit sie Supporttickets für den Kunden erstellen können, muss sich ein Partnerbenutzer in einer Sicherheitsgruppe befinden und diesem Kunden mit dieser Rolle zugewiesen sein.
Wo finde ich Informationen zu allen Rollen und Workloads, die in GDAP enthalten sind?
Informationen zu allen Rollen finden Sie in den integrierten Microsoft Entra-Rollen.
Informationen zu Workloads finden Sie unter Workloads, die von granularen delegierten Administratorrechten (GDAP) unterstützt werden.
Welche GDAP-Rolle bietet Zugriff auf das Microsoft 365 Admin Center?
Viele Rollen werden für das Microsoft 365 Admin Center verwendet. Weitere Informationen finden Sie unter Häufig verwendete Microsoft 365 Admin Center-Rollen.
Kann ich benutzerdefinierte Sicherheitsgruppen für GDAP erstellen?
Ja. Erstellen Sie eine Sicherheitsgruppe, weisen Sie genehmigte Rollen zu, und weisen Sie dieser Sicherheitsgruppe Partnermandantenbenutzer zu.
Welche GDAP-Rollen gewähren schreibgeschützten Zugriff auf die Abonnements des Kunden und erlauben dem Benutzer daher nicht, sie zu verwalten?
Der schreibgeschützte Zugriff auf die Abonnements des Kunden wird von den Supportrollen " Globaler Reader", "Verzeichnisleser" und "Partner" der Stufe 2 bereitgestellt.
Welche Rolle sollte ich meinen Partner-Agents (derzeit Administrator-Agents) zuweisen, wenn sie den Kundenmandanten verwalten, aber nicht die Abonnements des Kunden ändern möchten?
Es wird empfohlen, die Partner-Agents aus der Administrator-Agent-Rolle zu entfernen und sie nur einer GDAP-Sicherheitsgruppe hinzuzufügen. Auf diese Weise können sie Dienste verwalten (z. B. Dienstverwaltungs- und Protokolldienstanforderungen), aber sie können keine Abonnements kaufen und verwalten (Menge ändern, Kündigen, Planen von Änderungen usw.).
Was geschieht, wenn ein Kunde den Partnern GDAP-Rollen gewährt und dann Rollen entfernt oder die GDAP-Beziehung abtrennt?
Die sicherheitsgruppen, die der Beziehung zugewiesen sind, verlieren den Zugriff auf diesen Kunden. Dasselbe geschieht, wenn ein Kunde eine DAP-Beziehung beendet.
Kann ein Partner weiterhin Transaktionen für einen Kunden durchführen, nachdem alle GDAP-Beziehungen mit dem Kunden entfernt wurden?
Ja, das Entfernen der GDAP-Beziehungen mit einem Kunden beendet nicht die Handelspartnerbeziehung der Partner mit dem Kunden. Partner können weiterhin Produkte für den Kunden erwerben und Azure-Budget und andere verwandte Aktivitäten verwalten.
Können einige Rollen in meiner GDAP-Beziehung mit meinem Kunden länger ablaufen als andere?
Nein Alle Rollen in einer GDAP-Beziehung haben die gleiche Zeit bis zum Ablauf: die Dauer, die beim Erstellen der Beziehung ausgewählt wurde.
Benötige ich GDAP, um Aufträge für neue und vorhandene Kunden im Partner Center zu erfüllen?
Nein Sie benötigen GDAP nicht, um Aufträge für neue und bestehende Kunden zu erfüllen. Sie können denselben Prozess weiterhin verwenden, um Kundenaufträge im Partner Center zu erfüllen.
Muss ich allen Kunden eine Partner-Agent-Rolle zuweisen oder kann ich nur einem Kunden eine Partner-Agent-Rolle zuweisen?
GDAP-Beziehungen sind pro Kunde. Sie können mehrere Beziehungen pro Kunde haben. Jede GDAP-Beziehung kann unterschiedliche Rollen haben und unterschiedliche Microsoft Entra-Gruppen innerhalb Ihres CSP-Mandanten verwenden.
Im Partner Center funktioniert die Rollenzuweisung auf Kunden-zu-GDAP-Beziehungsebene. Wenn Sie eine Rolle mehreren Kunden auf einmal zuweisen möchten, können Sie dies mit APIs automatisieren.
Kann ein Partnerbenutzer über GDAP-Rollen und ein Gastkonto verfügen?
Gastkonten funktionieren nicht mit GDAP. Kunden müssen alle Gastkonten entfernen, damit GDAP funktioniert.
Benötige ich DAP/GDAP für die Bereitstellung von Azure-Abonnements?
Nein, Sie benötigen keine DAP oder GDAP, um Azure-Pläne zu erwerben und Azure-Abonnements für einen Kunden bereitzustellen. Der Prozess zum Erstellen eines Azure-Abonnements für einen Kunden wird beim Erstellen eines Abonnements für den Kunden eines Partners – Microsoft Cost Management + Billing – dokumentiert. Standardmäßig wird die Gruppe " Administrator-Agents " im Mandanten des Partners zum Besitzer der für den Kunden bereitgestellten Azure-Abonnements. Melden Sie sich mit Ihrer Partner Center-ID beim Azure-Portal an.
Um zugriff auf den Kunden bereitzustellen, benötigen Sie eine GDAP-Beziehung. Die GDAP-Beziehung muss mindestens die Microsoft Entra-Rolle von Verzeichnislesern enthalten. Um den Zugriff in Azure bereitzustellen, verwenden Sie die Zugriffssteuerungsseite (IAM). Melden Sie sich bei AOBO beim Partner Center an, und verwenden Sie die Dienstverwaltungsseite , um Zugriff auf den Kunden bereitzustellen.
Welche Microsoft Entra-Rollen werden von GDAP unterstützt?
GDAP unterstützt derzeit nur integrierte Microsoft Entra-Rollen. Benutzerdefinierte Microsoft Entra-Rollen werden nicht unterstützt.
Warum können GDAP-Administratoren + B2B-Benutzer keine Authentifizierungsmethoden in aka.ms/mysecurityinfo hinzufügen?
GDAP-Gastadministratoren können ihre eigenen Sicherheitsinformationen unter "Meine Sicherheitsinformationen" nicht verwalten. Stattdessen benötigen sie unterstützung des Mandantenadministrators, in dem er gastiert ist, um sicherheitsrelevante Informationen zu registrieren, zu aktualisieren oder zu löschen. Organisationen können mandantenübergreifende Zugriffsrichtlinien konfigurieren, um der MFA vom vertrauenswürdigen CSP-Mandanten zu vertrauen. Andernfalls sind GDAP-Gastadministratoren nur auf Methoden beschränkt, die vom Mandantenadministrator (sms oder Voice) registriert werden können. Weitere Informationen finden Sie unter Mandantenübergreifende Zugriffsrichtlinien.
Welche Rollen kann ein Partner verwenden, um die automatische Erweiterung zu aktivieren?
Ausrichtung am Leitprinzip von Zero Trust: Verwenden sie den geringsten Berechtigungszugriff:
- Wir empfehlen die Verwendung einer Rolle mit den geringsten Rechten nach Aufgaben - und Arbeitsauslastungsaufgaben , die von granularen delegierten Administratorrechten (GDAP) unterstützt werden, die von GDAP unterstützt werden.
- Wenn es erforderlich ist, die aufgeführten bekannten Probleme zu umgehen, arbeiten Sie mit Ihrem Kunden zusammen, um eine zeitgebundene globale Administratorrolle anzufordern.
- Es wird nicht empfohlen, die Rolle "Globaler Administrator" durch alle möglichen Microsoft Entra-Rollen zu ersetzen.
DAP und GDAP
Ersetzt GDAP DAP?
Ja. Während des Übergangszeitraums werden DAP und GDAP koexistieren, wobei GDAP-Berechtigungen Vorrang vor DAP-Berechtigungen für Microsoft 365-, Dynamics 365- und Azure-Workloads haben.
Kann ich DAP weiterhin verwenden oder muss ich alle meine Kunden auf GDAP umstellen?
DAP und GDAP koexistieren während des Übergangszeitraums. Allerdings wird GDAP schließlich DAP ersetzen, um sicherzustellen, dass wir eine sicherere Lösung für unsere Partner und Kunden bereitstellen. Es wird empfohlen, Ihre Kunden so bald wie möglich auf GDAP umzusteigen, um die Kontinuität sicherzustellen.
Solange DAP und GDAP gleichzeitig verwendet werden, gibt es Änderungen an der Art und Weise, wie eine DAP-Beziehung erstellt wird?
Es gibt keine Änderungen an dem vorhandenen DAP-Beziehungsablauf, während DAP und GDAP gleichzeitig genutzt werden.
Welche Microsoft Entra-Rollen würden als Teil von Create customer für standardmäßige GDAP gewährt?
DAP werden derzeit erteilt, wenn ein neuer Kundenmandant erstellt wird. Ab dem 25. September 2023 gewährt Microsoft KEINE DAP mehr für die neue Kundenerstellung und gewährt stattdessen standardmäßige GDAP mit bestimmten Rollen. Die Standardrollen variieren je nach Partnertyp, wie in der folgenden Tabelle dargestellt:
Microsoft Entra-Rollen, die für standardmäßiges GDAP gewährt werden | Direkte Rechnungspartner | Indirekte Anbieter | Indirekte Wiederverkäufer | Domänenpartner | Systemsteuerung Lieferanten (CPVs) | Advisor | Standard-GDAP deaktiviert (Kein DAP) |
---|---|---|---|---|---|---|---|
1. Verzeichnisleser. Lesen von grundlegenden Verzeichnisinformationen. Wird häufig verwendet, um Anwendungen und Gästen Lesezugriff für das Verzeichnis zu erteilen. | x | x | x | x | x | ||
2. Verzeichnisautoren. Kann grundlegende Verzeichnisinformationen lesen und schreiben. Die Rolle gewährt Zugriff auf Anwendungen und ist nicht für Benutzer vorgesehen. | x | x | x | x | x | ||
3. Lizenzadministrator. Kann Produktlizenzen für Benutzer und Gruppen verwalten. | x | x | x | x | x | ||
4. Dienstsupportadministrator. Lesen von Service Health-Informationen und Verwalten von Supporttickets. | x | x | x | x | x | ||
5. Benutzeradministrator. Dieser Administrator kann alle Aspekte von Benutzern und Gruppen verwalten, einschließlich der Kennwortzurücksetzung für eingeschränkte Administratoren. | x | x | x | x | x | ||
6. Administrator der privilegierten Rolle. Kann Rollenzuweisungen in Microsoft Entra und alle Aspekte von Privileged Identity Management verwalten. | x | x | x | x | x | ||
7. Helpdesk-Administrator. Kennwörter können für Nichtadministratoren und Helpdesk-Administratoren zurückgesetzt werden. | x | x | x | x | x | ||
8. Administrator der privilegierten Authentifizierung. Kann auf Informationen zur Anzeige, Festlegung und Zurücksetzung der Authentifizierungsmethode für jeden Benutzer (Administrator oder nichtadmin) zugreifen. | x | x | x | x | x | ||
9. Cloudanwendungsadministrator. Erstellen und Verwalten sämtlicher Aspekte von App-Registrierungen und Enterprise-Apps außer App-Proxy. | x | x | x | x | |||
10. Anwendungsadministrator. Kann alle Aspekte von App-Registrierungen und Enterprise-Apps erstellen und verwalten. | x | x | x | x | |||
11. Globaler Reader. Kann alles lesen, was ein globaler Administrator kann, aber nichts aktualisieren kann. | x | x | x | x | x | ||
12. Administrator des externen Identitätsanbieters. Kann den Partnerverbund zwischen Microsoft Entra-Organisationen und externen Identitätsanbietern verwalten. | x | ||||||
13. Domänennameadministrator. Verwalten von Domänennamen lokal und in der Cloud. | x |
Wie funktioniert GDAP mit Privileged Identity Management in Microsoft Entra?
Partner können Privileged Identity Management (PIM) in einer GDAP-Sicherheitsgruppe im Mandanten des Partners implementieren, um den Zugriff einiger Benutzer mit hohen Rechten zu erhöhen, nur rechtzeitig (JIT), um ihnen hochprivilegierte Rollen wie Kennwortadministratoren mit automatischer Entfernung des Zugriffs zu gewähren.
Bis Januar 2023 war es erforderlich, dass sich jede Privileged Access-Gruppe (früherer Name für das PIM für Gruppen-Feature ) in einer rollenzuweisenden Gruppe befinden musste. Diese Einschränkung wurde entfernt. In Diesem Fall ist es möglich, mehr als 500 Gruppen pro Mandant in PIM zu aktivieren, aber nur bis zu 500 Gruppen können rollenzuweisungsfähig sein.
Zusammenfassung:
Partner können sowohl rollenzuweisungsfähige als auch nicht rollenzuweisungsfähige Gruppen in PIM verwenden. Dadurch wird der Grenzwert für 500 Gruppen/Mandanten in PIM effektiv entfernt.
Mit den neuesten Updates gibt es zwei Möglichkeiten, Gruppen in PIM (UX-weise) zu integrieren: über das PIM-Menü oder über das Menü "Gruppen". Unabhängig von der gewählten Wahl ist das Nettoergebnis identisch.
Die Möglichkeit zum Onboarding von rollenzuweisungsfähigen/nicht rollenzuweisenden Gruppen über das PIM-Menü ist bereits verfügbar.
Die Möglichkeit zum Onboarding von rollenzuweisungsfähigen/nicht rollenzuweisenden Gruppen über das Menü "Gruppen" ist bereits verfügbar.
Weitere Informationen finden Sie unter Privileged Identity Management (PIM) für Gruppen (Vorschau) – Microsoft Entra.
Wie koexistieren DAP und GDAP, wenn ein Kunde Microsoft Azure und Microsoft 365 oder Dynamics 365 kauft?
GDAP ist im Allgemeinen mit Unterstützung für alle kommerziellen Microsoft-Clouddienste (Microsoft 365, Dynamics 365, Microsoft Azure und Microsoft Power Platform-Workloads ) verfügbar. Weitere Informationen dazu, wie DAP und GDAP koexistieren und wie GDAP Vorrang hat, finden Sie unter How will GDAP Vorrang vor DAP.
Ich habe eine große Kundenbasis (z. B. 10.000 Kundenkonten). Gewusst wie Übergang von DAP zu GDAP?
Diese Aktion kann von APIs ausgeführt werden.
Wird mein Partner PEC-Einnahmen (Credit Credit) erhalten, wenn ich von DAP zu GDAP wechsele? Hat dies Auswirkungen auf den Partner Admin Link (PAL)?
Nein Ihre PEC-Einnahmen werden nicht betroffen sein, wenn Sie zu GDAP wechseln. Es gibt keine Änderungen an PAL mit dem Übergang, um sicherzustellen, dass Sie weiterhin PEC verdienen.
Ist die PEC betroffen, wenn DAP/GDAP entfernt wird?
- Wenn der Kunde eines Partners nur DAP hat und DAP entfernt wird, geht PEC nicht verloren.
- Wenn der Kunde eines Partners ÜBER DAP verfügt und er gleichzeitig zu GDAP für Office und Azure wechselt und DAP entfernt wird, geht PEC nicht verloren.
- Wenn der Kunde des Partners ÜBER DAP verfügt und er zu GDAP für Office wechselt, Azure aber beibehalten (sie wechseln nicht zu GDAP) und DAP entfernt wird, geht PEC nicht verloren, aber der Azure-Abonnementzugriff geht verloren.
- Wenn eine RBAC-Rolle entfernt wird, geht PEC verloren, aber das Entfernen von GDAP entfernt keine RBAC.
Wie haben GDAP-Berechtigungen Vorrang vor DAP-Berechtigungen, während DAP und GDAP koexistieren?
Wenn der Benutzer teil der GDAP-Sicherheitsgruppe und der DAP Admin Agents-Gruppe ist und der Kunde sowohl ÜBER DAP- als auch ÜBER GDAP-Beziehungen verfügt, hat GDAP-Zugriff Vorrang auf Partner-, Kunden- und Workloadebene.
Wenn sich beispielsweise ein Partnerbenutzer für eine bestimmte Workload anmeldet und DAP für die Rolle "Globaler Administrator" und "GDAP" für die Rolle "Globaler Leser" vorhanden ist, erhält der Partnerbenutzer nur globale Leseberechtigungen.
Wenn drei Kunden mit GDAP-Rollenzuweisungen nur der GDAP-Sicherheitsgruppe (nicht den Administrator-Agents) zugewiesen sind:
Kreditor | Beziehung mit Partner |
---|---|
Kunde 1 | DAP (kein GDAP) |
Debitor 2 | DAP + GDAP |
Debitor 3 | GDAP (kein DAP) |
In der folgenden Tabelle wird beschrieben, wann sich ein Benutzer bei einem anderen Kundenmandanten anmeldet.
Beispielbenutzer | Beispiel-Kundenmandant | Behavior | Kommentare |
---|---|---|---|
Benutzer 1 | Kunde 1 | DAP | In diesem Beispiel handelt es sich um DAP as-is. |
Benutzer 1 | Debitor 2 | DAP | Es gibt keine GDAP-Rollenzuweisung für die Gruppe " Admin Agents ", was zu EINEM DAP-Verhalten führt. |
Benutzer 1 | Debitor 3 | Kein Zugriff | Es gibt keine DAP-Beziehung, sodass die Gruppe " Administrator-Agents " keinen Zugriff auf Kunden 3 hat. |
Benutzer 2 | Kunde 1 | DAP | In diesem Beispiel handelt es sich um DAP as-is |
Benutzer 2 | Debitor 2 | GDAP | GDAP hat Vorrang vor DAP, da benutzer 2 über die GDAP-Sicherheitsgruppe eine GDAP-Rolle zugewiesen ist, auch wenn der Benutzer Teil der Administrator-Agent-Gruppe ist. |
Benutzer 2 | Debitor 3 | GDAP | Dieses Beispiel ist ein nur GDAP-Kunde. |
Benutzer 3 | Kunde 1 | Kein Zugriff | Es gibt keine GDAP-Rollenzuweisung für Kunden 1. |
Benutzer 3 | Debitor 2 | GDAP | Benutzer 3 ist nicht Teil der Administrator-Agent-Gruppe , was zu einem nur GDAP-Verhalten führt. |
Benutzer 3 | Debitor 3 | GDAP | Reines GDAP-Verhalten. |
Wirkt sich die Deaktivierung von DAP oder der Übergang zu GDAP auf meine älteren Kompetenzvorteile oder die Von mir erworbenen Lösungen Partnerbezeichnungen aus?
DAP und GDAP sind keine geeigneten Zuordnungstypen für Solutions Partner-Bezeichnungen und das Deaktivieren oder Übergang von DAP zu GDAP wirken sich nicht auf Ihre Erreichung von Solutions Partner-Bezeichnungen aus. Ihre Erneuerung von Legacy-Kompetenzvorteilen oder Solutions Partner-Vorteilen ist ebenfalls nicht betroffen.
Wechseln Sie zu Partner Center Solutions Partner-Bezeichnungen , um anzuzeigen, welche anderen Partnerzuordnungstypen für Solutions Partner-Bezeichnungen berechtigt sind.
Wie funktioniert GDAP mit Azure Lighthouse? Wirken sich GDAP und Azure Lighthouse gegenseitig aus?
Stellen Sie sich die Beziehung zwischen Azure Lighthouse und DAP/GDAP als entkoppelte parallele Pfade zu Azure-Ressourcen vor, daher sollte die Trennung eines Pfads keine Auswirkungen auf den anderen haben.
Im Azure Lighthouse-Szenario melden sich Benutzer vom Partnermandanten nie beim Kundenmandanten an und verfügen nicht über Microsoft Entra-Berechtigungen im Kundenmandanten. Ihre Azure RBAC-Rollenzuweisungen werden ebenfalls im Partnermandanten gespeichert.
Im GDAP-Szenario befinden sich Benutzer aus der Partnermandantenanmeldung beim Kundenmandanten, und die Azure RBAC-Rollenzuweisung der Administrator-Agents-Gruppe befindet sich ebenfalls im Kundenmandanten. Sie können den GDAP-Pfad blockieren (Benutzer können sich nicht mehr anmelden), während der Azure Lighthouse-Pfad nicht betroffen ist. Umgekehrt können Sie die Lighthouse-Beziehung (Projektion) auflösen, ohne dass dies Auswirkungen auf GDAP hat. Weitere Informationen finden Sie in der Azure Lighthouse-Dokumentation .
Wie funktioniert GDAP mit Microsoft 365 Lighthouse?
Verwaltete Dienstanbieter (Managed Service Providers, MSPs), die im CSP-Programm (Cloud Solution Provider) registriert sind, können jetzt microsoft 365 Lighthouse verwenden, um GDAP für jeden Kundenmandanten einzurichten. Da es einige Möglichkeiten gibt, wie Partner ihren Übergang zu GDAP bereits verwalten, kann dieser Assistent Lighthouse-Partner rollenspezifische Empfehlungen für ihre Geschäftsanforderungen übernehmen. Außerdem können sie Sicherheitsmaßnahmen wie just-in-time -Zugriff (JIT) ergreifen. MSPs können auch GDAP-Vorlagen über Lighthouse erstellen, um einfach Einstellungen zu speichern und erneut anzuwenden, die den zugriff am wenigsten privilegierten Kunden ermöglichen. Weitere Informationen und zum Anzeigen einer Demo finden Sie im Lighthouse GDAP-Setup-Assistenten.
MSPs können GDAP für jeden Kundenmandanten in Lighthouse einrichten. Um auf die Workloaddaten des Kunden in Lighthouse zuzugreifen, ist eine GDAP- oder DAP-Beziehung erforderlich. Wenn GDAP und DAP in einem Kundenmandanten koexistieren, haben GDAP-Berechtigungen Vorrang für MSP-Techniker in GDAP-fähigen Sicherheitsgruppen. Weitere Informationen zu den Anforderungen für Microsoft 365 Lighthouse finden Sie unter "Anforderungen für Microsoft 365 Lighthouse".
Wie kann ich am besten zu GDAP wechseln und DAP entfernen, ohne den Zugriff auf Azure-Abonnements zu verlieren, wenn ich über Kunden mit Azure verfüge?
Die richtige Reihenfolge für dieses Szenario lautet wie folgt:
- Erstellen einer GDAP-Beziehung sowohl für Microsoft 365 als auch für Azure
- Weisen Sie Microsoft Entra-Rollen Sicherheitsgruppen für Microsoft 365 und Azure zu.
- Konfigurieren von GDAP, sodass es Vorrang vor DAP hat
- Entfernen von DAP.
Wichtig
Wenn Sie diese Schritte nicht ausführen, verlieren vorhandene Administrator-Agents, die Azure verwalten, möglicherweise den Zugriff auf Azure-Abonnements für den Kunden.
Die folgende Sequenz könnte dazu führen, dass der Zugriff auf Azure-Abonnements verloren geht:
Entfernen von DAP.
Sie verlieren nicht unbedingt den Zugriff auf ein Azure-Abonnement, indem Sie DAP entfernen. Derzeit können Sie jedoch nicht im Verzeichnis des Kunden navigieren, um alle Azure RBAC-Rollenzuweisungen (z. B. das Zuweisen eines neuen Kundenbenutzers als Abonnement-RBAC-Mitwirkender) zu erledigen.
Erstellen Sie eine GDAP-Beziehung für Microsoft 365 und Azure zusammen.
Möglicherweise verlieren Sie in diesem Schritt den Zugriff auf das Azure-Abonnement, sobald GDAP eingerichtet ist.
Zuweisen von Microsoft Entra-Rollen zu Sicherheitsgruppen für Microsoft 365 und Azure
Nach Abschluss des Azure GDAP-Setups erhalten Sie wieder Zugriff auf Azure-Abonnements.
Ich habe Kunden mit Azure-Abonnements ohne DAP. Wenn ich sie in GDAP für Microsoft 365 verschiebe, verliere ich den Zugriff auf die Azure-Abonnements?
Wenn Sie Über Azure-Abonnements ohne DAP verfügen, die Sie als Besitzer verwalten, indem Sie GDAP für Microsoft 365 zu diesem Kunden hinzufügen, verlieren Sie möglicherweise den Zugriff auf die Azure-Abonnements. Um dies zu vermeiden, verschieben Sie den Kunden gleichzeitig auf Azure GDAP, um den Kunden zu Microsoft 365 GDAP zu verschieben.
Wichtig
Wenn diese Schritte nicht befolgt werden, verlieren vorhandene Administrator-Agents, die Azure verwalten, möglicherweise den Zugriff auf Azure-Abonnements für den Kunden.
Kann ein einzelner Beziehungslink mit mehreren Kunden verwendet werden?
Nein Beziehungen, sobald sie akzeptiert wurden, sind nicht wiederverwendbar.
Wenn ich eine Vertriebspartnerschaft mit Kunden ohne DAP habe und keine GDAP-Beziehung hat, kann ich auf ihr Azure-Abonnement zugreifen?
Wenn Sie über eine bestehende Vertriebspartnerschaft mit dem Kunden verfügen, müssen Sie dennoch eine GDAP-Beziehung einrichten, um ihre Azure-Abonnements verwalten zu können.
- Erstellen Sie eine Sicherheitsgruppe (z. B. Azure-Manager) in Microsoft Entra.
- Erstellen Sie eine GDAP-Beziehung mit der Verzeichnisleserrolle .
- Legen Sie die Sicherheitsgruppe als Mitglied der Administrator-Agent-Gruppe fest.
Sobald dies erfolgt ist, können Sie das Azure-Abonnement Ihres Kunden über AOBO verwalten. Das Abonnement kann nicht über CLI/Powershell verwaltet werden.
Kann ich einen Azure-Plan für Kunden ohne DAP erstellen und keine GDAP-Beziehung haben?
Ja, Sie können einen Azure-Plan erstellen, auch wenn es keine DAP- oder GDAP mit einer bestehenden Händlerbeziehung gibt. Um dieses Abonnement zu verwalten, benötigen Sie jedoch DAP oder GDAP.
Warum wird der Abschnitt "Unternehmensdetails" auf der Seite "Konto" unter "Kunden" nicht mehr angezeigt, wenn DAP entfernt wird?
Wenn Partner von DAP zu GDAP wechseln, müssen sie sicherstellen, dass Folgendes vorhanden ist, um Unternehmensdetails anzuzeigen:
- Eine aktive GDAP-Beziehung.
- Jeder der folgenden Microsoft Entra-Rollen wird zugewiesen: Globaler Administrator, Verzeichnisleser, globaler Reader. Weitere Informationen finden Sie im Abschnitt zum Erteilen präziser Berechtigungen für Sicherheitsgruppen.
Warum wird mein Benutzername in portal.azure.com durch "user_somenumber" ersetzt, wenn eine GDAP-Beziehung vorhanden ist?
Wenn sich ein CSP mit seinen CSP-Anmeldeinformationen und einer GDAP-Beziehung bei der Azure-Portal (portal.azure.come) des Kunden anmeldet, stellt der CSP fest, dass sein Benutzername "user_" gefolgt von einer bestimmten Zahl ist. Der tatsächliche Benutzername wird nicht wie in DAP angezeigt. Es handelt sich hierbei um ein beabsichtigtes Verhalten.
Was sind die Zeitachsen für Stop DAP und die Gewährung von Standard-GDAP mit der Erstellung eines neuen Kunden?
Mandantentyp | Verfügbarkeitsdatum | Verhalten der Partner Center-API (POST /v1/customers) enableGDAPByDefault: true |
Verhalten der Partner Center-API (POST /v1/customers) enableGDAPByDefault: false |
Verhalten der Partner Center-API (POST /v1/customers) Keine Änderung an Anforderung oder Nutzlast |
Verhalten der Partner Center-Benutzeroberfläche |
---|---|---|---|---|---|
Sandbox | 25. September 2023 (nur API) | DAP = Nein. Standard GDAP = Ja | DAP = Nein. Standard GDAP = Nein | DAP = Ja. Standard GDAP = Nein | Standard GDAP = Ja |
Produktion | 10. Oktober 2023 (API + UI) | DAP = Nein. Standard GDAP = Ja | DAP = Nein. Standard GDAP = Nein | DAP = Ja. Standard GDAP = Nein | Opt-In/Out verfügbar: Standard-GDAP |
Produktion | 27. November 2023 (GA-Rollout am 2. Dezember abgeschlossen) | DAP = Nein. Standard GDAP = Ja | DAP = Nein. Standard GDAP = Nein | DAP = Nein. Standard GDAP = Ja | Opt-In/Out verfügbar: Standard-GDAP |
Partner müssen explizit präzise Berechtigungen für Sicherheitsgruppen unter Standard-GDAP erteilen.
Ab dem 10. Oktober 2023 steht DAP nicht mehr mit Vertriebspartnerbeziehungen zur Verfügung. Der aktualisierte Link "Reseller Relationship request" ist in der Partner Center-Benutzeroberfläche verfügbar, und die API-Vertrags-URL "/v1/customers/relationship requests" gibt die Einladungs-URL zurück, die an den Administrator des Kundenmandanten gesendet werden soll.
Soll ein Partner präzise Berechtigungen für Sicherheitsgruppen im Standard-GDAP erteilen?
Ja, Partner müssen explizit präzise Berechtigungen für Sicherheitsgruppen im Standard-GDAP erteilen, um Kunden zu verwalten.
Welche Aktionen können ein Partner mit der Reseller-Beziehung, aber keine DAP und kein GDAP im Partner Center ausführen?
Partner mit Händlerbeziehung nur ohne DAP oder GDAP können Kunden erstellen, Bestellungen aufgeben und verwalten, Softwareschlüssel herunterladen, Azure RI verwalten. Sie können keine Kundenunternehmensdetails anzeigen, keine Benutzer anzeigen oder Benutzern Lizenzen zuweisen, keine Tickets im Namen von Kunden protokollieren und auf produktspezifische Admin Center (z. B. Teams Admin Center) nicht zugreifen und diese verwalten.)
Welche Aktion muss ein Partner durchführen, der von DAP zu GDAP über die Zustimmung wechselt?
Damit ein Partner oder CPV auf einen Kundenmandanten zugreifen und diese verwalten kann, muss der Dienstprinzipal seiner App im Kundenmandanten zugestimmt werden. Wenn DAP aktiv ist, müssen sie dem Administrator-Agents SG im Partnermandanten den Dienstprinzipal der App hinzufügen. Mit GDAP muss der Partner sicherstellen, dass seine App im Kundenmandanten zugestimmt wird. Wenn die App delegierte Berechtigungen (App + Benutzer) verwendet und eine aktive GDAP mit einer der drei Rollen (CloudAnwendungsadministrator, Anwendungsadministrator, globaler Administrator) vorhanden ist, kann die Zustimmungs-API verwendet werden. Wenn die App nur Anwendungsberechtigungen verwendet, muss sie entweder vom Partner oder Kunden mit einer der drei Rollen (Cloudanwendungsadministrator, Anwendungsadministrator, globaler Administrator) mithilfe der mandantenweiten Administratorzustimmungs-URL manuell zugestimmt werden.
Welche Aktion muss ein Partner für einen 715-123220-Fehler ausführen, oder anonyme Verbindungen sind für diesen Dienst nicht zulässig?
Wenn der folgende Fehler angezeigt wird:
"Zurzeit können wir Ihre Anforderung "Neue GDAP-Beziehung erstellen" nicht überprüfen. Es wird empfohlen, dass anonyme Verbindungen für diesen Dienst nicht zulässig sind. Wenn Sie glauben, dass Sie diese Meldung fehlerhaft erhalten haben, versuchen Sie es bitte erneut. Klicken Sie hier, um mehr über aktionen zu erfahren, die Sie ausführen können. Wenn das Problem weiterhin besteht, wenden Sie sich an den Support und den Referenznachrichtencode 715-123220 und die Transaktions-ID: GUID."
Ändern Sie, wie Sie eine Verbindung mit Microsoft herstellen, damit unser Identitätsüberprüfungsdienst ordnungsgemäß ausgeführt werden kann, damit wir sicherstellen können, dass Ihr Konto nicht kompromittiert wurde und den Von Microsoft einzuhaltenden Vorschriften entspricht.
Möglich:
- Löschen Sie den Browsercache.
- Deaktivieren Sie die Nachverfolgungsprävention in Ihrem Browser oder fügen Sie unsere Website zu Ihrer Ausnahme/Sicherheitsliste hinzu.
- Deaktivieren Sie ein beliebiges VPN-Programm (virtuelles privates Netzwerk), das Sie möglicherweise verwenden.
- Stellen Sie die Verbindung direkt von Ihrem lokalen Gerät aus her und nicht über eine virtuelle Maschine (VM).
Nachdem Sie diese Schritte versucht haben, können Sie immer noch keine Verbindung herstellen, empfehlen wir, sich mit Ihrem IT-Helpdesk zu beraten, um ihre Einstellungen zu überprüfen, um festzustellen, ob sie helfen können, das Problem zu identifizieren. Manchmal liegt das Problem in den Netzwerkeinstellungen Ihres Unternehmens, in diesem Fall müsste Ihr IT-Administrator das Problem z. B. beheben, indem wir unseren Standort oder andere Netzwerkeinstellungsanpassungen sicher auflisten.
Welche GDAP-Aktionen sind für einen Partner zulässig, der offboarding (eingeschränkt, ausgesetzt) und offboarded ist?
- Restricted (Direct Bill): Neue GDAP (Administratorbeziehungen) kann nicht erstellt werden. Vorhandene GDAPs und ihre Rollenzuweisungen können aktualisiert werden.
- Suspended (Direct Bill/Indirect Provider/Indirect Reseller): Neue GDAP KANN nicht erstellt werden. Vorhandene GDAPs und ihre Rollenzuweisungen können nicht aktualisiert werden.
- Restricted (Direct Bill) + Active (Indirekter Wiederverkäufer): Für eingeschränkte direkte Rechnung: Neue GDAP (Administratorbeziehungen) KANN nicht erstellt werden. Vorhandene GDAPs und ihre Rollenzuweisungen können aktualisiert werden. Für aktive indirekte Wiederverkäufer: Neue GDAP KANN erstellt werden, vorhandene GDAPs und ihre Rollenzuweisungen KÖNNEN aktualisiert werden.
Wenn ein offboardiertes neues GDAP nicht erstellt werden kann, können vorhandene GDAP und ihre Rollenzuweisungen nicht aktualisiert werden.
Angebote
Ist die Verwaltung von Azure-Abonnements in dieser Version von GDAP enthalten?
Ja. Die aktuelle Version von GDAP unterstützt alle Produkte: Microsoft 365, Dynamics 365, Microsoft Power Platform und Microsoft Azure.